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Beschreibung 

Die Erfindung betrifft ein Verfahren zur Fehlererkennung und -lokalisierung von redundanten Signalge- 
bern einer Automatisierungsanlage. 

5 Bisher sind bei redundanten Automatisierungsanlagen nur Verfahren bekannt, aufgrund derer es moglich 

ist, typische Leitungsschaden zwischen Signalgebern und der Automatisierungsanlage, z.B. Kurzschlud oder 
Drahtbruch, zu erkennen und so bei redundanten Signalgebern das Signal des Gebers mit defekter Leitung 
zu ignorieren. Es sind bisher jedoch keine Verfahren bekannt, mit denen Fehlerdes Gebers selbst automatisch 
erkannt werden konnen. Dies f uhrte bisher dazu, daR, je nachdem ob eine Aniage hochverfugbar oder sicher- 

10 heitsrelevant ausgelegt war, der zu steuernde ProzeR entweder falsch gesteuert wurde, well ein nicht erkann- 
ter Geberfehler vorlag, oder aber die Aniage in einen sicheren Zustand uberfuhrt und dort nach Moglichkeit 
stillgesetzt wurde, obwohl mittels des ordnungsgemaR funktionierenden anderen Gebers eine ordnungsge- 
maRe Fuhrung des technischen Prozesses moglich gewesen ware. Schaden bzw. Produktionsausfalle waren 
die Folge. 

15 Aus der GB-2 012 092 A ist ein Alarmsystem bekannt, bei dem ein lokaler Alarm ausgelost wird, wenn min- 

destens einer von mehreren Sensoren anspricht, und ein globaler Alarm ausgelost wird, wenn innerhaib einer 
vorgegebenen Zeitspanne mehrere der Sensoren ansprechen. Malinahmen zur Detektion von Geberfehlern 
sind nicht vorgesehen. 

Aus der EP-0 034 839 A1 ist ein Verfahren bekannt, bei dem die Signale von zwei Impulsdetektoren derart 
20 mit einander verknupft werden, daR detektiert werden kann, ob einer der Detektoren defekt ist. MaRnahmen 
zur Detektion von Geberfehlern bei Einzelsignalgebern sind nicht offenbart. 

Es ist Aufgabe der vorliegenden Erfindung, eine moglichst einfache Verfahrensweise anzugeben, mit der 
nicht nur Leitungsschaden, sondern auch Geberfehler mit hoher Wahrscheinlichkeit automatisch erkannt und 
lokatisiert werden konnen. 
25 Die Aufgabe wird durch folgende Schritte gelost: 

- es wird der Ablauf einer Wartezeit angestoden, wenn die von den Gebern gelieferten Signale wesentlich 
unterschiedliche Werte aufweisen; 

- es wird ein Fehlersignal ausgegeben, wenn die von den Gebern gelieferten Signale auch nach Ablauf 
der Wartezeit wesentlich unterschiedliche Werte aufweisen; 

30 - bei zweifach redundanten Signalgebern wird der eine Geber ermittelt, dessen Signal seinen Wert nicht 

verandert hat, und dieser Geber wird als fehlerhaft registriert; 

- bei mindestens dreifach redundanten Signalgebern wird der eine Geber ermittelt, der nach Ablauf der 
Wartezeit ein zu den von den anderen Gebern gelieferten Signalen wesentlich unterschiedliches Signal 
liefert, und dieser Geber endgiiltig als fehlerhaft registriert. 

35 Die Erfindung beruht auf der experimentell gesicherten Erkenntnis, dafi der bei weitem hauf igste Fehler 

von Signalgebern das Hangenbleiben in einem festen Zustand ist, d.h. dafi sich das vom Signalgeber gelieferte 
Signal nicht mehr andert. 

Mit Vorteil wird bei zwei redundanten Signalgebern der als fehlerhaft registrierte Geber noch nicht end- 
giiltig als fehlerhaft registriert, da auch der andere Geber aufgrund einer Fehlfunktion sein Signal gewechselt 
40 haben konnte. Dies ist jedoch nur mit sehr geringer Wahrscheinlichkeit der Fall. Wenn aber der andere Geber 
erneut sein Signal andert, bevor der als fehlerhaft registrierte Geber dem Signal des anderen Gebers gefolgt 
ist, wird der als fehlerhaft registrierte Geber mit Vorteil endgultig als fehlerhaft registriert. Das von diesem Ge- 
ber gelieferte Signal wird fur die Fuhrung des Prozesses ignoriert, bis der Geber repariert bzw. ausgetauscht 
wird. 

45 Wenn dagegen der eine Geber sein Signal nach Ablauf der Wartezeit, aber vor einem erneuten Signal- 

wechsel des anderen Gebers andert, insbesondere dem Signal des anderen Gebers im wesentlichen an- 
gleicht, wird der eine Geber als korrekt f unktionierend und der andere Geber endgultig als fehlerhaft registriert. 
Die Verf ugbarkeit und Zuverlassigkeit einer Aniage mit mindestens drei redundanten Gebern lalit sich auf ein 
Hochstmali steigern, wenn nach der endgultigen Regtstrierung des einen Gebers als fehlerhaft die zwei an- 

50 deren, ordnungsgemali funktionierenden Geber gemafi einem Verfahren nach einem oder mehreren der An- 
spruche 1 bis 6 uberwacht werden. 

Weitere Vorteile und Einzelheiten ergeben sich aus der nachfolgenden Beschreibung einesAusfuhrungs- 
beispiels, anhand der Zeichnungen und in Verbindung mit den weiteren Unteranspruchen. Es zeigen: 
FIG 1 und 2 ein Blockschaltbild zur Erkennung und Lokalisierung von Signalgeberfehlern bei zwei bzw. 

55 drei redundanten, digitalen Signalgebern. 

Gemafi FIG 1 melden Zwei redundante, digitaie Signalgeber 1,1' Zustandsignale uber der Prozefi P an 
die Automatisierungsanlage 2. Wenn sich der Zustand des Prozesses P, der ein chemischer Prozefi, z.B. in 
der Pharma- oder der Petrochemie, sein kann, andert, andern sich die von den Signalgebern 1, 1' an die Au- 
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tomatisierungsanlage 2 gelieferten Signale. Die Signale werden primar an die Auswerteschaltung 3 ubermlt- 
telt, die aufgrund der von den Gebern 1,1' gelieferten Signale und des von der Fehlererkennungsschaltung 
4 gelieferten Signals entscheidet, welches der von den Gebern 1,1' gelieferten Signale den Vorrang hat. wenn 
sich die Signale unterscheiden. Die Funktlon der Fehlererkennungsschaltung 4 wird nachstehend noch erlau- 
5 tert werden. 

Aufgrund von Bauteiltoleranzen und Laufzeitunterschieden sowie geringfugig anderem Ansprechverhal- 
ten der Geber 1,1' andern sich die von den Gebern 1,1' gelieferten Signale nicht gleichzeltig. Im folgenden 
ist angenommen, daS der Geber 1 als erster sein Signal andert. 

Die Signalanderung des Gebers 1 wird im Unterschiedsdetektor 5, der z.B. ein XOR-Glied ist, reglstriert, 
10 und stoBt dadurch den Ablauf der WartezeitT Im Zeitglied 6 an. Wenn die Wartezeit T abgelaufen ist, wird die- 
ses Ablaufen der Wartezeit T an die Fehlererkennungsschaltung 4 ubenmittelt. Die Fehlererkennungsschal- 
tung 4 liest darauf hin das vom Flankendetektor 7 ubermittelte Signal ein. Dieses Signal kann drei Werte haben: 

- Der Wert +1 wird ubermittelt, wenn sich das Signal des Gebers 1 geandert hat und das des Gebers 1' 
nicht. 

15 - Der Wert -1 wird ubenmittelt, wenn sich das Signal des Gebers 1' geandert hat und das des Gebers 1 

nicht, 

- Der Wert Null wird ubermittelt, wenn entweder das Signal des Gebers 1' dem Signal des Gebers 1 nach- 
gefolgt ist Oder aber wenn das Signal des Gebers 1 wieder zuruckgesetzt wurde. 

Erganzend sei bemerkt, da(i der Ablauf der Wartezeit T im Zeitglied 6 jedesmal erneut angestoGen wird, 
20 wenn eine erneute Ungleichheit zwischen den von den Gebern 1, 1' gelieferten Signalen detektiert wird. Wenn 
also z.B. wahrend des Laufens der Wartezeit T das Signal des Gebers V nacheilt bzw. das Signal des Gebers 
1 zuruckgesetzt wird, beeinflufitdaszwardas vom Flankendetektor? geiieferte Signal, nicht aber das Ablaufen 
der Wartezeit T. Wenn dagegen wahrend des Laufens der WartezeitT eine erneute Anderung stattfindet, dies- 
mal z.B. beim Signalgeber 1', wird der Ablauf der WartezeitT erneut angestoRen. Wenn die WartezeitT ablauf t, 
25 ohne da& der Geber 1 sein Signal ebenfalls geandert hat oder das Signal des Gebers 1 ' zuruckgesetzt wurde, 
wird in diesem Fall selbstverstandlich vom Flankendetektor 7 an die Fehlererkennungsschaltung 4 der Wert 
-1 ubermittelt. 

Die Fehlererkennungsschaltung 4 entscheidet nach Ablauf der Wartezeit T, welcherWert, namlich wieder 
0, +1 Oder -1 an die Auswerteschaltung 3 ubermittelt wird. 
30 - Wenn der Wert Null an die Auswerteschaltung 3 ubermittelt wird, sind die von den Gebern 1, 1' gelie- 

ferten Signale gleich. Je nach Anwendungsfall kann aber wahrend der Wartezeit T z.B. auf eine Ande- 
rung sofort reagiert werden oder der ProzeB grundsatzlich nach dem kritischeren Signal gefuhrt werden 
Oder erst nach dem Ansprechen des zweiten Gebers reagiert werden. 

- Wenn der Wert +1 bzw. -1 an die Auswerteschaltung 3 ubermittelt wird, hat stets das vom Signalgeber 
35 1 bzw. das vom Signalgeber 1' gelieferte Signal den Vorrang. Das Signal des jeweils anderen Signal- 

gebers wird ignoriert. 

Wenn als tatsachlich gultiges Signal das geanderte Signal benutzt wird, wird schon vor Ablauf der War- 
tezeitT das kritischere Signal zur weiteren Fuhrung des Prozesses P bereitgestellt. Andererseits kann es pas- 
sieren, dali bei sofortiger Steuerungsreaktion trotz prinzipiell korrekten Funktlonierens der zweite Geber nicht 

40 mehr anspricht und daher wegen eines nur scheinbaren Fehlers als fehlerhaf t reglstriert wird. Demgegenuber 
wird bei einer 2-von-2-Auswertung die Steuerungsreaktion erst nach Ansprechen des zweiten Gebers bzw. 
nach Ablauf der WartezeitT eingeleitet, d.h. es kann nicht geschehen, dalifalschlicherweise der zweite Geber 
als fehlerhaft reglstriert wird. 

In der Fehlererkennungsschaltung 4 wird reglstriert, ob einer der Geber 1,1' und ggf. welcher fehlerhaft 

45 ist. Diese Registrierung ist gemali einer vorteilhaften Ausgestaltung der Erf indung jedoch nur vorlauf ig. Wenn 
sich namlich nach Ablauf der Wartezeit T das Signal des als fehlerhaft registrierten Gebers erneut andert, be- 
vor sich das vom anderen Geber gelieferte Signal wieder andert, wird angenommen, dafi der zunachst als feh- 
lerhaft registrierte Geber doch ordnungsgemaS f unktioniert und der andere Geber fehlerhaft ist. In diesem 
Fall wird der zunachst als fehlerhaft registrierte Geber wieder als ordnungsgemall funktionierend reglstriert 

50 und der andere Geber als fehlerhaft reglstriert. Diese Registrierung ist nunmehr aber endgultig. 

Wenn dagegen der als ordnungsgemafl registrierte andere Geber sein Signal erneut andert, bevor der als 
fehlerhaft registrierte Geber sein Signal geandert hat, wird die Registrierung des einen Gebers als fehlerhaft 
endgultig. 

Obenstehend beschriebenes Verfahren wird bei der Verwendung von mindestens dreifach redundanten 
55 Gebern leicht abgeandert FIG 2 zeigt die zugehorige Schaltung. Gleiche Bezugszeichen bedeuten dabei die 
gleichen Elemente wie zuvor bei FIG 1 beschrieben. 

Der zu fuhrende Prozeli P wird nunmehr von drei redundanten Gebern 1, 1', 1" uberwacht. Die drei von 
den Gebern 1, 1', 1" gelieferten Signale werden in die Auswerteschaltung 8 eingegeben. die das tatsachlich 
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gultige Signal aufgrund einer 2-von-3 Oder aufgrund einer 3-von-3-Entscheidung ermittelt Diese Entschet- 
dung wird an die Weitergabeschaltung 9 ubermittelt. Weiterhin wird jede Anderung eines dervon den Gebern 
1, V, 1" gelieferten Eingangssignale im Unterschiedsdetektor 10 detektiert und immerdann, wenn die von den 
Gebern 1, 1', 1" gelieferten Signale nicht gleich sind, der Ablauf der Wartezeit T im Zeitglied 6 erneut ange- 
5 stolien. 

Wenn die Wartezeit T abgelaufen ist, wird dies an die Auswerteschaltung 8 gemeldet. Wenn zu diesem 
Zeitpunktdie von den Gebern 1, 1' , 1" gelieferten Signale nicht gleich sind, wird eine Mehrheitsentscheidung 
getroffen, d. h. es wird der eine Geber ermittelt, der nach Ablauf der Wartezeit T ein zu den von den anderen 
Gebern gelieferten Signalen unterschiedliches Signal liefert. Daraufhin passiviert sich die Auswerteschaltung 

10 8 und meldet dies an die Schaltungen 9 und 11. Weiterhin wird an die Logikschaltung 11 ubermittelt, welcher 
der Geber 1, 1', 1" fehlerhaft ist. Aufgrund der Passivierungsmeldung der Auswerteschaltung 8 an die Wei- 
tergabeschaltung 9 wird von der Weitergabeschaltung 9 ab sofort nicht mehr das von der Auswerteschaltung 
8 gelieferte Signal, sondern das von der Logikschaltung 11 gelieferte Signal verwertet. Die Logikschaltung 11 
wird durch die Passivierungsmeldung der Auswerteschaltung 8 aktiviert. In ihr werden die von den beiden ord- 

15 nungsgemafi funktionierenden Gebern gelieferten Signale gemaR dem bei FIG 1 beschriebenen Verfahren 
verarbeiteL 

Im Ergebnis wird dadurch erreicht, dafi nicht nur einer sondern nacheinander sogar zwei der Geber 1,1', 
1" ausfallen konnen und trotzdem der Prozeli sicher gefuhrt wird. 

Wenn das tatsachlich gultige Signal aufgrund einer 2-von-3-Entscheidung ermittelt wird, wird schon vor 

20 Ablauf der Wartezeit T das Majoritatsergebnis zur weiteren Fuhrung des Prozesses P bereitgestellt Anderer- 
seits kann es passieren, dali bei sofortlger Steuerungsreaktion trotz prinzipiell korrekten Funktionierens der 
dritte Geber nicht mehr anspricht und daherwegen eines nurscheinbaren Fehlers als fehlerhaft registriertwird. 
Demgegeniiber wird bei einer 3-von-3-Auswertung die Steuerungsreaktion erst nach Ansprechen des dritten 
Gebers bzw. nach Ablauf der Wartezeit Teingeleitet, d.h. es kann nicht geschehen, daBfalschlicherweise einer 

25 der Geber als fehlerhaft registriert wird. 

Die vorstehend beschriebenen Verfahren sind selbstverstandlich nicht nur bei digitalen Gebern 1, 1', 1" 
anwendbar, sondern auch bei analogen Gebern. In diesem Fall miissen die Unterschiedsdetektoren 5, 10 der- 
art konzipiert sein, da(i sie eine geringe SIgnalabweichung, die bei Analog-Signalen unvermeidbar sind, tole- 
rieren, ohne das Ablaufen der Wartezeit T auszulosen. Die Toleranzschwelle liegt in der Regel zwischen 1 und 

30 10% des maximal zulassigen Wertes, typisch bei 5 %. Weiterhin wird die Flankenzahlung dervon digitalen 
Gebern gelieferten Signale derart abgeandert, dali die Signale differenziert werden, also die Anderungsge- 
schwindigkeiten der von den Gebern gelieferten Signale detektiert werden, und auf Wechsel eines Signals er- 
kannt wird, wenn die zu diesem Signal gehorige Anderungsgeschwindlgkeit einen vorwahlbaren Wert iiber- 
steigL Wenn mehrere Signale gleichzeitig eine Anderungsgeschwindlgkeit aufweisen, die diesen vorwahlba- 

35 ren Wert ubersteigt, konnen entweder alle Signale, die normalerweise als sich andernd registriert wurden, als 
geandert registriert werden oder aber nur das Signal mit der betragsmaflig groRten Anderungsgeschwindlg- 
keit 

Erganzend sei noch auf folgende vorteilhafte Ausgestaltungen der Erfindung hingewiesen: 
Mit Vorteil sollten nicht alle vom Prozeli gelieferten Signale redundant verarbeitet werden, sondern nur 
40 die sicherheits- bzw. verfugbarkeitsrelevanten Signale. Dadurch werden die Kosten fur die Automatisierungs- 

anlage 2, der Aufwand fur die Installation der Anlage 2 und die Reaktionszeit der Aniage 2 auf geanderte Pro- 

zefizustande minimiert. 

Wenn ein Geber als fehlerhaft registriert wird, sollte selbstverstandlich eine Meldung an den Benutzer er- 
folgen, z.B. der Form "Geber 1 defekt, falls bei manueller Uberpriif ung Geber 1 korrekt funktioniert, sofort Ge- 
45 ber 1 ' uberprufen", 

Wenn man einen einzelnen Geber verwendet, dessen Signal mehreren Baugruppen der Automatisierungs- 
anlage 2 in identischer Form zugef uhrt wird, ist eine Uberprufung der Baugruppen wahrend des Betriebs mog- 
lich. Da die Baugruppen namlich identische Eingangssignale erhalten, muHten sie auch in gleicher Weise rea- 
gieren. Wenn sie das nicht tun, muR eine Fehlfunktion vorliegen. Die Kriterien zur Auswahl der fehlerhaflen 
50 Baugruppe sind die gleichen wie die zur Auswahl eines fehlerhaften Gebers. 

Es werden auch Leitungsschaden detektiert. Eigenstandige Verfahren zum Erkennen von Leitungsscha- 
den werden also nicht mehr benotigt. 

Wenn die von der Automatisierungsanlage 2 an den Prozeli P gelieferten Steuersignale uber redundante 
Prozelisignalformer an den Prozeli ausgegeben werden und die Ausgabesignale wieder in die Automatisie- 
55 rungsanlage 2 zuruckgef uhrt werden, ist eine ahnliche Uberpriif ung der Prozelisignalformer wie zuvor fur die 
obenstehend beschriebenen Signalgeber moglich. Das Wort "Signalgeber" bzw. "Geber" im Sinne der vorlie- 
genden Erfindung umfaRt also sowohl Geber, die Signale vom Prozeli P in die Automatisierungseinlage 2 ein- 
geben, als auch Geber, die Signale von der Automatisierungsanlage 2 an den Prozeli P ausgeben. 
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Mit besonderem Vorteil besteht die Automatisierungsanlage 2 aus zwei redundanten Zentralgeraten, wo- 
bei an beide Zentralgerate ein nur in Verbindung mit einem Zentralgerat f unktionsfahiges Erwelterungsgerat 
angeschlossen ist. An jedes der drei Gerate isteiner der Geber 1, 1\ 1" angeschlossen. Dutch entsprechende 
Kopplung und Synchronisierung der Gerate untereinander kann erreicht werden, daR sowohl ein Ausfall von 
einem Oder zwei Gebern als auch der Ausfall von einem Zentralgerat sowie dem Erweiterungsgerat verkraftet 
werden kann, ohne den ProzeG P stillegen zu mussen. 

Typische Anwendungsfalle fiir die vorliegende Erf indung sind z.B. der FlieRbandbetrieb, wie er u.a. in der 
Autoindustrie und auf Flughafen anzutreffen ist, die Gebaudeautomatlsierung und die Prozeftautomatisierung 
in der Glasindustrie. Speziell in der Glasindustrie, in derzum Teil sehr langsame, thenmische Prozesse ablau- 
fen, kann es sinnvoll sein, die Wartezeit T, die mindestens 10 ms, bei anderen Anwendungsfallen typisch 50 
ms betragt, so groB zu parametrleren, dad sie etiiche Sekunden, z.B. bis uber 30 Sekunden betragt. 



Patentanspruche 

1. Verfahren zur Fehlererkennung und -lokalisierung von zweifach redundanten Signalgebern (1,1') einer 
Automatisierungsanlage (2), insbesondere einer in der chemischen Industrie, z.B. der petrochemischen 
Industrie, eingesetzten Automatisierungsanlage (2), mitfolgenden Schritten: 

- es wird der Ablauf einer Wartezeit (T) angestoRen, wenn die von den Gebern (1,1') gelieferten Si- 
gnale wesentlich unterschiedliche Werte aufweisen; 

- es wird ein Fehlersignal ausgegeben, wenn die von den Gebern (1,1') gelieferten Signale auch nach 
Ablauf der Wartezeit (T) wesentlich unterschiedliche Werte aufweisen; 

- es wird der eine Geber (z.B. V) ermittelt, dessen Signal seinen Wert nicht verandert hat; und 

- dieser Geber (V) wird als fehlerhaft registriert. 

2. Verfahren nach Anspruch 1 , dadurch gekennzeichnet, da(i der Ablauf der Wartezeit (T) bei jeder neu 
auftretenden Signalungleichheit erneut angestolien wird. 

3. Verfahren nach Anspruch 1 oder2, dadurch gekennzeichnet, dad der eine Geber (1') endgiiltig als feh- 
lerhaft registriert wird, wenn sich das vom anderen Geber (1) gelieferte Signal erneut andert, bevor sich 
das vom einen Geber (V) gelieferte Signal andert. 

4. Verfahren nach Anspruch 1, 2oder 3, dadurch gekennzeichnet, daR der eine Geber (1') wieder als kor- 
rekt f unktionierend und der andere Geber (1 ) endgultig als fehlerhaft registriert wird, wenn der eine Geber 
(V) sein Signal nach Ablauf der Wartezeit (T). aber vor einem erneuten Signalwechsel des anderen Ge- 
bers (1) andert, insbesondere dem Signal des anderen Gebers (1) im wesentlichen angleicht. 

5. Verfahren nach Anspruch 1, 2, 3 oder 4, dadurch gekennzeichnet, da(i die von den Gebern (1,1') ge- 
lieferten Signale Digitalsignale sind, dali die Flankenwechsel der von den Gebern (1,1') gelieferten Si- 
gnale detektiert werden und aufgrund der detektierten Flankenwechsel entschieden wird, welcher Geber 
einen Signalwechsel ausgef uhrt hat. 

6. Verfahren nach Anspruch 1, 2, 3 oder 4, dadurch gekennzeichnet. daft die von den Gebern (1,1') ge- 
lieferten Signale Analogsignale sind, dad die Anderungsgeschwindigkeiten der von den Gebern (1,1') ge- 
lieferten Signale detektiert werden und auf Wechsel eines Signals erkannt wird, wenn die zugehorige An- 
derungsgeschwindigkeit einen vorwahlbaren Wert ubersteigt. 

7. Verfahren zur Fehlererkennung und -lokalisierung von mindestens dreifach redundanten Signalgebern 
(1,r ,1") einer Automatisierungsanlage (2), insbesondere einer in der chemischen Industrie, z.B, der pe- 
trochemischen Industrie, eingesetzten Automatisierungsanlage (2), mitfolgenden Schritten: 

- es wird der Ablauf einer Wartezeit (T) angestoden, wenn die von den Gebern (1,1' ,1") gelieferten 
Signale wesentlich unterschiedliche Werte aufweisen; 

- es wird ein Fehlersignal ausgegeben, wenn die von den Gebern (1.1' ,1") gelieferten Signale auch 
nach Ablauf der Wartezeit (T) wesentlich unterschiedliche Werte aufweisen; 

- es wird der eine Geber (z.B . 1 ) ermittelt, der nach Ablauf der Wartezeit (T) ein zu den von den anderen 
Gebern (V ,1") gelieferten Signalen wesentlich unterschiedliches Signal liefert; und 

- dieser Geber (1) wird endgultig als fehlerhaft registriert 

8. Verfahren nach Anspruch 7, dadurch gekennzeichnet, daR der Ablauf der Wartezeit (T) bei jeder neu 
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auftretenden Signalungleichheit erneut angestoRen wird. 

9. Verfahren nach Anspruch 7 oder 8, dadurch gekennzeichnet daR nach der endgultigen Registrierung 
des einen Gebers (1) als fehlerhaft die zwei anderen, ordnungsgemaR funktionierenden Geber (V ,1") 

5 gemaH einem Verfahren nach einem oder mehreren der Anspruche 1 bis 6 Oberwacht werden. 

10. Verfahren nach einem oder mehreren der obigen Anspruche, dadurch gekennzeichnet, dali vor Ablauf 
der Wartezeit (T) nur bei Gleichheit der von den nicht als fehlerhaft registrierten Gebern (1,1' ,1") gelie- 
ferten Signale eine Steuerungsreaktion eingeleltet wird. 

11. Verfahren nach einem oder mehreren der obigen Anspruche, dadurch gekennzeichnet, daft die Warte- 
zeit (T) mindestens 10 ms, typisch ca. 50 ms, betragt. 



Claims 

15 

1. A method of detecting and localising faults in doubly redundant signal detectors (1, 1') of an automation 
system (2), in particular an automation system (2) used in the chemical industry, for example the petro- 
chemical industry, comprising the following steps: 

- the elapse of a waiting time (T) is started when the signals supplied by the detectors (1, V) possess 
substantially different values; 

- an error signal is output when the signals supplied by the detectors (1,1') also possess substantially 
different values after the expiration of the waiting time (T); 

- the one detector (e.g. 1') whose signal has not changed its value is determined; and 

- this detector (1') is registered as defective. 

2. A method as claimed in Claim 1 , characterised in that the elapse of the waiting time (T) is restarted with 
each reoccurring signal inequality. 

3. A method as claimed in Claim 1 or 2, characterised in that the one detector (1') is definitively registered 
30 as defective when the signal supplied by the other detector (1) changes again before the signal supplied 

by the one detector (V) changes. 

4. A method as claimed in Claim 1, 2 or 3, characterised in that the one detector (V) is registered again as 
functioning correctly and the other detector (1 ) is definitively registered as defective when the one detector 

35 (V) changes its signal after the expiration of the waiting time (T) but before a further signal change of 

the other detector (1), in particular substantially approximates the signal of the other detector (1). 

5. A method as claimed in Claim 1 , 2, 3 or 4, characterised in that the signals supplied by the detectors (1 , 
V) are digital signals, that the edge changes of the signals supplied by the detectors (1,1') are detected 
and as a result of the detected edge changes it is decided which detector has carried out a signal change. 
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6. A method as claimed In Claim 1 , 2, 3 or 4, characterised in that the signals supplied by the detectors 1 , 
V) are analogue signals, that the rates of change of the signals supplied by the detectors (1,1') are de- 
tected and in the event of a change in a signal it is recognised when the associated rate of change exceeds 
a preselectable value. 

7. A method of detecting and localising faults in at least triply redundant detectors (1,1'. 1") of an automation 
system (2), in particular an automation system (2) used in the chemical industry, for example the petro- 
chemical industry, comprising the following steps: 

- the elapse of a waiting time (T) is started when the signals supplied by the detectors (1,1', 1") pos- 
sess substantially different values; 

- an error signal is output when the signals supplied by the detectors (1,1', 1") also possess substan- 
tially different values after the expiration of the waiting time (T); 

- the one detector (e.g. 1) which, after the expiration of the waiting time (T), supplies a signal substan- 
tially different from the signals supplied by the other detectors (V, 1") is determined; and 

- this detector (1) is definitively registered as defective. 

8. A method as claimed In Claim 7, characterised in that the elapse of the waiting time (T) is restarted with 
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each reoccurring signal inequality. 

9. A method as claimed in Claim 7 or 8, characterised in that after the definitive registration of the one de- 
tector (1) as defective, the two other correctly functioning detectors (1', 1") are monitored in accordance 
with a method claimed in one or more of Claims 1 to 6. 

10. A method as claimed in one or more of the above claims, characterised in that prior to the expiration of 
the waiting time (T) only in the event of the equality of the signals supplied by the detectors (1.1', 1") not 
registered as defective is a control reaction initiated. 

11. A method as claimed in one or more of the above claims, characterised in that the waiting time (T) amounts 
to at least 10 ms, and typically approximately 50 ms. 



Ravendications 

1. Proc6d6 d'identif ication et de localisation de d§fauts dans des g^n^rateurs de signaux (1,1'), doublement 
redondants, d'une installation d'automatisation (2), notamment d'une installation d'automatisation (2) uti- 
lis§e dans Industrie chimique, notamment dans Industrie p6trochimique, pr6sentant les 6tapes op6ra- 
toires suivantes : 

- on attend I'^couiement d'un temps d'attente (T), lorsque les signaux d6livr6s par les g6n6rateurs 
(1,1') poss^dent des valeurs nettement diff6rentes; 

- un signal d'erreur est delivr^ lorsque les signaux d^livres par les g^n^rateurs (1,1') poss^dent ^ga- 
lement, aprfes Tecoulement du temps d'attente (T), des valeurs nettement differentes; 

- on determine quel est le g6n6rateur (par exemple 1'), dont la valeur du signal n'a pas chang6; et 

- ce g6nerateur (1') est enregistr6 comme 6tant defectueux. 

2. Proced6 suivant la revendication 1 , caracterise par le fait qu'on attend 6 nouveau T^coulement du temps 
d'attente (T) lors de chaque in6galite nouvellement apparue entre les signaux. 

3. Proc6d6 suivant la revendication 1 ou 2, caracterise par le fait que le g6n6rateur (V) enregistr6 comme 
etant d6fectueux est enregistre finalement comme 6tant defectueux lorsque le signal d6livr6 par T autre 
g6nerateur (1) change ^ nouveau avant que le signal d6livr6 par le premier g6n6rateur (1') change. 

4. Proc6d6 suivant la revendication 1 , 2 ou 3, caract6ris6 par le fait que le g6n6rateur (1 ') enregistr6 comme 
6tant d6fectueux est enregistr6 d nouveau comme fonctionnant de fagon correcte et que I'autre g6n6ra- 
teur (1) est enregistr6 finalement comme 6tant defectueux lorsque le signal du premier g^n^rateur (1') 
change apr6s I'^coulement d'attente du temps (T), mais avant un nouveau changement de signal de I'au- 
tre g6n6rateur (1 ), notamment lorsque le signal du premier g6n6rateur devient sensiblement 6gal au signal 
de I'autre g6n6rateur (1). 

5. Proc6d6 suivant la revendication 1, 2, 3 ou 4, caract6ris6 par le fait que les signaux d6livr6s par les g6- 
n6rateurs (1,1') sontdes signaux num6riques, que les changements des f lanes des signaux d6livr6s par 
les g6n6rateurs (1, 1') sont, d6tect6es et que sur la base des changements d6tect6s des f lanes, une de- 
cision est prise indiquant quel gen6rateur a ete le si^ge d'un changement de signal. 

6. Proc6d6 suivant la revendication 1, 2, 3 ou 4, caract6ris6 par le fait que les signaux d6livr6s par les g6- 
nerateurs (1,1') sont des signaux analogiques et que les vitesses de changement des signaux deilvr6s 
par les g^n^rateurs (1,1') sont d6tect6s et on Identifie au changement d'un signal le fait que la vitesse 
associee de changement d6passe une valeur pouvant §tre pr6s6lectionn6e. 

7. Precede d'identif ication et de localisation de defauts de generateurs de signaux (1,1',1") au moins trois 
fois redondants, d'une installation d'automatisation (2). notamment d'une installation d'automatisation (2) 
utilisee dans I'industrie chimique, notamment dans Industrie petrochimique, comprenant les etapes ope- 
ratoires suivantes : 

- on attend I'ecoulement d'un temps d'attente (T). lorsque les signaux deiivres par les generateurs 
(1,1M") possedent des valeurs nettement differentes; 

- un signal d'erreur est deiivre, lorsque les signaux deiivres par les generateurs (1,1M") poss6dent 
egalement. apres I'ecoulement du temps d'attente (T), des valeurs nettement differentes; 
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- on d6termine quel est le g6n6rateur (par example 1), qui, aprds I'^coulement du temps d'attente (T), 
d^Iivre un signal nettement different des signaux d6livres par les autres g6n6rateurs (1,1', 1"): 

- ce g^nerateur (1) est enregistr6 finalement comme 6tant d6fectueux. 

8. Proc6de sulvant la revendication 7, caract6rls6 par le fait qu'on attend d nouveau T^coulement du temps 
d'attente (T) lors de chaque in^galit^ entre les signaux, qui apparatt ^ nouveau. 

9. Proc6d6 suviant la revendication 7 ou 8, caract6rls6 par le fait qu'apr^s I'enregistrement final d'un gen6- 
rateur (1) comme d6fectueux, les deux autres g6n6rateurs (1',1"). qui fonctionnent correctement, sont 
contr6l§s conform6ment k un proc6d6 selon une ou plusieurs des revendications 1^6. 

1 0. Proc6d6 suivant une ou plusieurs des revendications pr6c6dentes, caracterise par le fait qu'avant I'^cou- 
lement du temps d'attente (T), une reaction de commande est d6clench6e uniquement en cas d'6galit6 
des signaux d6livr6s par les g6n6rateurs (1,1',1") enregistr6s comme n'6tant pas d6fectueux. 

11. Precede suivant une ou plusieurs de revendications pr6c6dentes, caract§ris6 par le fait que le temps d'at- 
tente (T) est 6gal au moins ^ 10 ms et de fagon typique k environ 50 ms. 
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